Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Win32.HLLM.Netsky

(W32/Patched.AF, I-Worm/Netsky.Z, Virus:Win32/Resourcer.A, Backdoor.Win32.Rbot.aus, PE_RESOURCER.A, Win32/PEPatch, Email-Worm.Win32.NetSky.aa, Parser error, W32/Resourcer, Worm/Netsky.AA, Trojan.Proxy.Agent.DA, I-Worm/Netsky.ED, Possible_Mlwr-13, TR/Patched.AF.56, W32.Netsky.AN@mm, WORM_NETSKY.Z, TR/Crypt.UPKM.Gen, WORM_NETSKY.GEN, Trojan.Win32.Patched.af, W32/Buchon!keylog, I-Worm/Netsky.EY, Trojan.Agent.XX, Win32.Netsky.AA@mm, Worm/Netsky.AH)

Описание добавлено:

Тип вируса: Почтовые черви массовой рассылки

Уязвимые ОС: Win95/98/Me/NT/2000/XP

Размер файла: может быть 25 352 байт, 17 424 байт, 24 840 байт, 22 016 байт, 18 944 байт, 31 232 байт

Упакован: могут быть упакованы PETITE, PEPACK, PCPEC, UPX, PECOMPACT

Техническая информация

  • Чтобы обеспечить автоматический запуск своих копий при каждой перезагрузке Windows, различные модификации червя могут вносить данные
    C:\Windows\winlogon.exe -stealth,
    C:\Windows\MsnMsgrs.exe -alev,
    C:\Windows\fooding.exe -antivirus
    в ветвь реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
  • Адреса для почтовой рассылки черви извлекают из файлов со следующими расширениями:

    .dhtm
    .cgi
    .shtm
    .msg
    .oft
    .sht
    .dbx
    .tbb
    .adb
    .doc
    .wab
    .asp
    .uin
    .rtf
    .vbs
    .html
    .htm
    .pl
    .php
    .txt
    .eml
  • Для распространения по сети обмена файлами черви копируют себя в общие директории в виде файлов со следующими именами:

    The Sims 3 crack.exe
    Lightwave SE Update.exe
    Ulead Keygen.exe
    Smashing the stack.rtf.exe
    IE58.1 full setup.exe
    Opera.exe
    DivX 7.0 final.exe
    WinAmp 12 full.exe
    Cracks & Warez Archive.exe
    Visual Studio Net Crack.exe
    ACDSee 9.exe
    MS Service Pack 5.exe
    Clone DVD 5.exe
    Magix Video Deluxe 4.exe
    Star Office 8.exe
    Partitionsmagic 9.0.exe
    Gimp 1.5 Full with Key.exe
    Norton Antivirus 2004.exe
    Windows Sourcecode.doc.exe
    Keygen 4 all appz.exe
    3D Studio Max 3dsmax.exe
    1000 Sex and more.rtf.exe
    RFC Basics Full Edition.doc.exe
    Dictionary English - France.doc.exe
    Win Longhorn Beta.exe
    WinXP eBook.doc.exe
    Learn Programming.doc.exe
    How to hack.doc.exe
    Doom 3 Beta.exe
    E-Book Archive.rtf.exe
    Virii Sourcecode.scr
    Ahead Nero 7.exe
    Full album.mp3.pif
    Screensaver.scr
    Serials.txt.exe
    Microsoft Office 2003 Crack.exe
    XXX hardcore pic.jpg.exe
    Dark Angels.pif
    Porno Screensaver.scr
    Best Matrix Screensaver.scr
    Adobe Photoshop 9 full.exe
    Adobe Premiere 9.exe
    Teen Porn 16.jpg.pif
    Microsoft WinXP Crack.exe
  • Темы рассылаемых сообщений выбираются из ниже указанного списка. Чаще всего встречается сообщение о том, что почтовый адрес пользователя деактивирован или закрыт, и пользователю предлагается ознакомиться с подробностями.
    Your mail account expired. Please follow the link to reactivate.
    Your mail account has been closed. Click on the link for further details.
    Your mail account has been deactivated. To reactivate, follow the link.
    Mail account expired
    Mail account closed
    Mail account deactivated
    Your file is attached.
    Please read the attached file.
    Please have a look at the attached file.
    See the attached file for details.
    Here is the file.
    Your document is attached.
    me veja peladinha
    gostaria disso e voce???
    algo a mais falea verdade!!!
    ganhe muita grana
    campanhadafome
    pq nao me liga??
    sinto voce!!
    grana
    Lembra? amor me liga
    Hackers do Brasil
    Medical Labs Exames!!!
    meu telefone liga
    ferias nos E.U.A
    Surto :(
    Vacina contra o HIV!!
    sua conta bancaria zerada
    olha que isso!!!
    parabens!
    te amo!
    Policia SP
    Sua Conta!!
    Boleto Pague
    veja o que tem no zip e me liga receitas de bolo!!
    acrdito que em voce!!!
    promocao de viajens de fim de ano
    tudo sobre voce sabe
    Proposta de emprego!!
    estou doente veja!!!
    me diz o queacha?
    retorna logo isso!!
    arquivo zipado PGP???
    voce passou
    :D!!!
    ve ai logo ta
    AMA!
    AmaVoce
    Abra rapido isso!!!!
    reza de sao tome!!!!.
    veja detalhes!!!.
    encontro voce!
    preenche ai ta bom
    PizzaVeneza!
    vaca
    tetas
    war3!
    AIDS!
    grana
    banco!
    revista lulao!
    imposto jogo!
    loterias
    vips!
    missao
    vadias!
    email
    flipe
    botao
    sampa!!
    contas!!
    zerado
    :(
    criancas!
    brasil!
    lantrocidade
    aqui
    docs
    festa!!
    LINUSTOR
    bingos!
    agua!
    :D
    sorteado!!
    grana!!
    dinheiro!!
    carros!
    voce
    :-)
    ???
    circular
    agradou
    diga
    robos!
    impressao!!
    massas!
    pescaria por kilo
    Sua saude esta bem? morto :)
  • Вложенные в тело письма копии червей могут быть как с одинарным, так и с двойным расширением. Примеры:
  • your_website.pif
    your_product.pif
    your_letter.pif
    your_archive.pif
    your_text.pif
    your_bill.pif
    your_details.pif
    document_word.pif
    document_excel.pif
    my_details.pif
    all_document.pif
    application.pif
    mp3music.pif
    yours.pif
    document_4351.pif
    your_file.pif
    message_details.pif
    your_picture.pif
    document_full.pif
    message_part2.pif
    document.pif
    your_document.pif
    vota!.zip.scr
    aninha gatinha!.zip.scr
    importante!!!!!.zip.scr
    minhavida!.zip.exe
    comoserrico!.zip.scr
    vida!!.zip.scr
    receitas de bolo!!.zip.scr
    celulares!!.zip.scr
    clica ai logo meu.scr
    rede globo tv!.zip.scr
    rocha.scr
    paula!.scr
    Carnaval em Salvador!!.zip.scr
    vadias peladas!!.scr
    cafe!!.zip.scr
    traficoemSP!.scr
    MulataDandoOcujpg.scr
    multas.pif
    caspa.scr
    barrio.scr
    ResidentEvil2.zip.scr
    puteiros!!.scr
    Canaval2004!.jpg.pif
    VivaNaBaia!.scr

  • Не производят рассылку по адресам, которые содержат подстроки:

    abuse
    fbi
    orton
    f-pro
    aspersky
    cafee
    orman
    itdefender
    f-secur
    avp
    spam
    ymantec
    antivi
    icrosoft
    iruslis
    andasoftwa
    skynet
  • Удаляют следующие ключи реестра и все данные в них:
      HKCU\Software\Microsoft\Windows\CurrentVersion\Run\KasperskyAV
      HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Taskmon
      HKCU\Software\Microsoft\Windows\CurrentVersion\Run\msgsvr32
      HKCU\Software\Microsoft\Windows\CurrentVersion\Run\service
      HKCU\Software\Microsoft\Windows\CurrentVersion\Run\OLE
      HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Sentry
      HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Windows Services Host HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
      HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride
      HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
      HKCU\Software\Microsoft\Windows\CurrentVersion\Run\DELETE ME
      HKCU\Software\Microsoft\Windows\CurrentVersion\Run\au.exe
      HKCU\Software\Microsoft\Windows\CurrentVersion\Run\d3dupdate.exe
      HKLM\System\CurrentControlSet\Services\WksPatch

  • Могут содержать в своём теле IP-адреса сайтов немецких, швейцарских и голландских компаний, на которые проводятся DoS-атаки.
  • Могут содержать текстовые строки экспрессивного характера, обращённые к авторам почтовых червей семейств MyDoom и Beagle.
    Например:

    Hey Bagle, feel our revenge!
    MyDoom and Bagle are spammer we are the skynet - you can't hide yourself! - we kill malware writers (they have no chance!) - [LaMeRz-->]MyDoom.F is a thief of our idea! - -< SkyNet AV vs. Malware >- ->->

  • Рекомендации по восстановлению системы

    1. Загрузить ОС Windows в Безопасном режиме (Safe Mode).
    2. Воспользоваться дисковым сканером Dr.Web® либо бесплатной утилитой Dr.Web® CureIT! для сканирования локальных дисков компьютера. Для всех найденных инфицированных файлов необходимо применить действие "Лечить".
    3. Восстановить реестр из резервной копии.

    Важно! Непосредственно перед выполнением п.2 необходимо настроить используемый почтовый клиент таким образом, чтобы он хранил вложения в виде отдельных файлов, а не в теле почтовой базы. Например, хранение вложений отдельно от почтовой базы в почтовом клиенте TheBat! настраивается следующим образом:
    Ящик - Свойства почтового ящика - Файлы и каталоги - Хранить присоединенные файлы в отдельном каталоге (Account - Properties - Files & Directories - Keep attachment files - Separately in a special directory).